Für Security-Verantwortliche ist Künstliche Intelligenz zugleich Chance und Herausforderung: Sie unterstützt effektiv im Kampf gegen wachsende Cyberbedrohungen, bringt jedoch auch neue Risiken mit sich und erweitert die Angriffsfläche.
Transparenz: Bei Chatbots müssen Unternehmen offenlegen, ob ein Nutzer mit einem Menschen spricht oder mit einer KI.
VRVIRUS / Stock.adobe.com
Der EU AI Act und die DSGVO geben den rechtlichen Rahmen für den Einsatz von Künstlicher Intelligenz (KI) vor. Einige sehen diese Anforderungen als Innovationsbremse – doch das ist ein Trugschluss. Vielmehr geht es darum, den verantwortungsvollen Einsatz von KI-Technologie sicherzustellen – sowohl für Entwickler und Hersteller als auch für Betreiber und Anwender. Laut einer aktuellen Bitkom-Studie setzt bereits jedes fünfte deutsche Unternehmen auf KI, und drei Viertel der Befragten planen, in den kommenden Jahren in die Technologie zu investieren. Doch auch Cyberkriminelle nutzen KI längst – sowohl als Angriffsvektor als auch als Werkzeug, um noch schneller, raffinierter und effizienter vorzugehen.
KI-Risiken entstehen nicht nur durch cyberkriminelle Angriffe, sondern auch durch unbeabsichtigtes Fehlverhalten, etwa wenn Mitarbeiter sensible Daten in einen Chatbot eingeben oder KI-Anwendungen ohne Kenntnis der IT-Abteilung nutzen. Gerade Verbote begünstigen eine gefährliche Schatten-IT, die sich jeglicher Security-Kontrolle entzieht. Vielmehr ist ein verantwortungsvoller Umgang mit der neuen Technologie gefragt. Daher ist es wichtig, Mitarbeiter durch Schulungen für KI-Risiken zu sensibilisieren und klare Richtlinien aufzustellen, was erlaubt ist und was nicht. Grundsätzlich sollten Mitarbeiter keine sensiblen Informationen in eine KI-Anwendung eingeben, die nicht vom Unternehmen kontrolliert wird. Personenbezogene oder vertrauliche Daten sollten sauber von öffentlich zugänglichen Daten getrennt und durch ein Rechtemanagement geschützt werden.
Biometrische Systeme gelten als hochriskant
Der AI Act verbietet aus diesem Grund bestimmte Arten von KI-Systemen, um den Schutz der Menschen zu gewährleisten. So dürfen keine unterschwelligen, manipulativen oder betrügerischen Systeme eingesetzt werden, die das Verhalten und die Entscheidungsfindung von Personen beeinflussen und zu nachteiligen Entscheidungen führen. Ebenso untersagt ist die Erstellung von Gesichtserkennungsdatenbanken durch das Sammeln von Bildern aus dem Internet oder von Überwachungskameras.
Besonders biometrische Systeme gelten als hochriskant, weshalb ihr Einsatz strengen Regelungen unterliegt. Sie dürfen nicht zur Überwachung in öffentlich zugänglichen Bereichen verwendet werden. Allerdings gibt es Ausnahmen, beispielsweise wenn es um die Suche nach Opfern von Entführung, Menschenhandel oder sexueller Ausbeutung geht, bei der Fahndung nach vermissten Personen oder wenn das Leben von Menschen in Gefahr ist, etwa durch eine drohende terroristische Bedrohung. Auch zur Identifizierung von Verdächtigen in bestimmten strafrechtlichen Ermittlungen können biometrische Echtzeitfernerkennungssysteme unter strengen Auflagen zur Strafverfolgung eingesetzt werden.
EU AI Act bildet rechtlichen und ethischen Rahmen
Viele der KI-Risiken sind Datenschutzrisiken. Security-Verantwortliche sollten daher eng mit den Datenschutzbeauftragten zusammenarbeiten. Sobald eine KI-Anwendung personenbezogene Daten verarbeitet, unterliegt sie der DSGVO. Um Compliance sicherzustellen, müssen Unternehmen zum Beispiel dafür sorgen, dass Trainingsdaten geschützt oder anonymisiert sind, Anwender keine sensiblen Daten in öffentliche KI-Applikationen eingeben und keine vertraulichen Informationen abfließen. Hier greifen Datenschutz und Cybersicherheit eng ineinander.
Als neue Vorgabe kommt der EU AI Act hinzu, der seit August 2024 in Kraft ist. Er soll einen rechtlichen und ethischen Rahmen für Entwicklung und Nutzung von Künstlicher Intelligenz in der EU schaffen. Der AI Act teilt KI-Anwendungen in vier Risikoklassen ein: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Anwendungen mit inakzeptablem Risiko sind in der EU verboten. Dazu zählt zum Beispiel Social Scoring, also die Vergabe von Punkten, um menschliches Verhalten zu bewerten und zu beeinflussen. Für KI-Anwendungen der anderen Risikoklassen sind je nach Einstufung unterschiedliche Voraussetzungen zu erfüllen. Bei Hochrisikoapplikationen ist zum Beispiel ein Risikomanagement-System über den gesamten Lebenszyklus und ein Konformitätsnachweis vorgeschrieben. Generative KI wird als begrenztes Risiko eingestuft und unterliegt einer Transparenzverpflichtung: Bei Chatbots müssen Unternehmen beispielsweise offenlegen, ob ein Nutzer mit einem Menschen spricht oder mit einer KI. Viele Security-Lösungen, die KI einsetzen, fallen in die niedrigste Risikostufe und sind daher unreguliert. Sie erfordern keine Maßnahmen zur Risikominderung. Sofern sie personenbezogene Daten verarbeiten, unterliegen sie aber ohnehin der DSGVO. Hier ändert sich durch die Integration von KI-Technologie nichts. Anbieter müssen wie gehabt sicherstellen, dass ihre Lösungen die geltenden Datenschutzanforderungen einhalten.
KI-Sicherheit muss von Anfang an mitgedacht werden
Noch stehen wir am Anfang der KI-Transformation. Niemand kann heute vorhersagen, wie sich die Sicherheitslage entwickeln wird. Klar ist: Mit der Einführung von KI-Infrastrukturen wächst die Angriffsfläche. Gleichzeitig steigt die Wahrscheinlichkeit, dass Cyberkriminelle dank KI-Unterstützung den ersten Schutzwall durchbrechen. Umso wichtiger ist es, KI-Sicherheit von Anfang an mitzudenken und in ein ganzheitliches Security-Konzept zu integrieren. Dies beginnt bei einem kontinuierlichen Cyber-Risikomanagement und erstreckt sich von präventiven Maßnahmen zur Risikominderung über eine schnelle Angriffserkennung bis hin zur Incident Response.
Um ein reibungsloses Zusammenspiel zu gewährleisten und Komplexität zu reduzieren, ist ein Plattformansatz gefragt, der alle wichtigen Sicherheitsfunktionen vereint und Security-Prozesse KI-gestützt automatisiert. Auch Security-Lösungen von Drittanbietern sollten sich anbinden lassen. So können Unternehmen ihre gesamte IT- und KI-Umgebung von einer zentralen Konsole aus monitoren und Daten ganzheitlich auswerten. Sie gewinnen umfassende Transparenz und sind in der Lage, schnell auf neue Risiken zu reagieren – ganz gleich, was die Zukunft bringt.
